» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点主动防御软件 » 微点对这个病毒防护欠佳   作者: 标题: 微点对这个病毒防护欠佳 两可 注册用户 新手上路 积分 160 发帖 160 注册 2005-12-25 #1  微点对这个病毒防护欠佳 今天看到本坛上有会员发了一个“从FF转过来的可以修改系统时间的病毒”样本（样本出处：http://61.185.81.124/read.php?tid-117392.html），忍不住想亲自运行下，我的安全防护软件前面我有专贴介绍（http://bbs1.hypost.cn/read.php?tid-115984.html），自我感觉防护很强硬哦，所以就斗胆运行了。结果如下： １。PG禁止程序运行，选择允许。 ２。程序被GSS侦测到运行 ３。微点提示木马选择删除 ４。重启，呵呵。因为有SHADOWUSER，所以为了防止不必要的麻烦，当然要重启消除所有生成物了。想必时间即使改了，也应该恢复啊。 ５。重启上来，我晕，系统时间居然还是１９８０。此时微点托盘图标正常。为了以防万一，我进行了GHOST。 ６。回来，时间居然还是１９８０，把系统时间调回，却发现微点失效了，汗一个，这会儿就失效啊？ ７。看来只好卸载微点重新安装了？可我想如果不卸载，再来一遍GHOST呢？好，说干就干，又GHOST一遍，上来一看，哈哈，微点又正常了。！ ８。看来，微点虽然发现了木马并且杀了，但并不能防止病毒更改系统时间，这就会造成杀软的失效，就会对系统的安全失去监控，很危险哦。 ９，经过研究，在“本地安全”策略－－用户权利指派－－更改系统时间中的用户全部删除，乖乖，这下子自己也不可以修改时间了，如果想修改还要在这里添加上自己的用户名。 １０，再次下载运行样本，哈哈，结果可想而知，微点杀死木马，系统时间如磐石盘纹丝不动，哈哈，至此，成功狙击“修改系统时间”的病毒，喜悦中。现在把这个成功的经验也共享给绅博论坛的朋友吧。记得绅博首发，如有转载，请不要忘记绅博哦。 PS：请哪位注册表高手，把“本地安全策略－－用户权利指派－－系统时间修改”在注册表里如何表示（在哪一个项？）提示个？呵呵，这里求教了。 ※ ※ ※ 本文纯属【两可】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-25 10:32 jr21066 版主 电脑&数码区版主 积分 1648 发帖 1646 注册 2006-12-16 #2   管理员是可以更改时间的。 普通用户可以限制 ※ ※ ※ 本文纯属【jr21066】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-25 11:09 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #3   楼主的情况请把您的样本发到virus@micropoint.com.cn我们具体测试分析下，发送完请把您的邮箱地址用论坛短消息发给我 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-1-25 11:18 八闽汀江子 高级用户 积分 537 发帖 525 注册 2006-12-31 来自 深圳 #4   试过几回了！ 不用ghsot，只需连接网络，然后“查询剩余时间”连接东方微点服务器，再手动把时间改回来就可以了。 但环境不同结果不同。 ※ ※ ※ 本文纯属【八闽汀江子】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 如果我们的脑袋都长在别国人的头上，那我们就真的“亡国”了... 2007-1-25 11:58 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号